230/67 (IT) ประจำวันจันทร์ที่ 1 กรกฎาคม 2567
Google ประกาศว่าจะเริ่มบล็อกเว็บไซต์ที่ใช้ใบรับรองจาก Entrust ในเบราว์เซอร์ Chrome ตั้งแต่วันที่ 1 พฤศจิกายน 2024 เป็นต้นไป โดยให้เหตุผลว่าทาง Entrust ล้มเหลวในการปฏิบัติตามข้อกำหนดและไม่สามารถแก้ไขปัญหาด้านความปลอดภัยได้ทันท่วงที
ทีมรักษาความปลอดภัยของ Chrome กล่าวว่า “ในช่วงหลายปีที่ผ่านมา รายงานเหตุการณ์ที่เปิดเผยต่อสาธารณะได้แสดงถึงพฤติกรรมที่น่ากังวลจาก Entrust ซึ่งไม่เป็นไปตามความคาดหวังที่ตั้งไว้ และได้ทำลายความเชื่อมั่น ความน่าเชื่อถือของ Entrust ในฐานะเจ้าของใบรับรองที่เชื่อถือได้ในที่สาธารณะ” ดังนั้น Google จึงมีแผนที่จะไม่เชื่อถือใบรับรอง TLS จาก Entrust ในเวอร์ชัน 127 ของ Chrome และเวอร์ชันที่สูงกว่าตามค่าเริ่มต้น อย่างไรก็ตาม ผู้ใช้ Chrome และลูกค้าองค์กรสามารถเปลี่ยนแปลงการตั้งค่านี้ได้หากต้องการ ซึ่ง Google ยังได้เน้นว่าใบรับรองมีบทบาทสำคัญในการรักษาความปลอดภัยในการเชื่อมต่อระหว่างเบราว์เซอร์และเว็บไซต์ และการที่ Entrust ขาดความก้าวหน้าในการแก้ไขปัญหาที่เปิดเผยต่อสาธารณะและไม่สามารถปรับปรุงตามคำมั่นสัญญาได้นั้นก่อให้เกิดความเสี่ยงต่อระบบอินเทอร์เน็ต ซึ่งการบล็อกนี้จะครอบคลุมเบราว์เซอร์ Chrome ในระบบ Windows, macOS, ChromeOS, Android, และ Linux ยกเว้น Chrome สำหรับ iOS และ iPadOS เนื่องจากนโยบายของ Apple ที่ไม่อนุญาตให้ใช้ Chrome Root Store โดยผู้ใช้งานที่เข้าชมเว็บไซต์ที่ใช้ใบรับรองจาก Entrust หรือ AffirmTrust จะพบข้อความแจ้งเตือนว่าการเชื่อมต่อไม่ปลอดภัยและไม่เป็นส่วนตัว ผู้ดูแลเว็บไซต์ที่ได้รับผลกระทบควรเปลี่ยนไปใช้เจ้าของใบรับรองที่เชื่อถือได้ภายในวันที่ 31 ตุลาคม 2024 โดย Google แนะนำว่า “ผู้ดูแลเว็บไซต์อาจชะลอผลกระทบจากการบล็อกโดยเลือกที่จะรวบรวมและติดตั้งใบรับรอง TLS ใหม่ที่ออกโดย Entrust ก่อนวันที่ 1 พฤศจิกายน 2024 แต่ในที่สุดผู้ดูแลเว็บไซต์จะต้องรวบรวมและติดตั้งใบรับรอง TLS ใหม่จากหนึ่งในหลายๆ เจ้าของใบรับรองที่รวมอยู่ใน Chrome Root Store”
แหล่งข่าว https://thehackernews.com/2024/06/google-to-block-entrust-certificates-in.html
